Niti Telecom Caravan Business Server远程目录遍历漏洞

漏洞信息详情

Niti Telecom Caravan Business Server远程目录遍历漏洞

• CNNVD编号：CNNVD-200412-972
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2004-2170
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2004-02-02
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  niti_telecom
• 漏洞来源：
  dr_insane※ dr_insa…

Niti Telecom Caravan Business Server是一款基于WEB的服务程序。
Niti Telecom Caravan Business Server包含的showcode.asp脚本对用户提交的请求缺少充分过滤，远程攻击者可以利用这个漏洞以WEB权限查看系统文件。
使用包含多个\’\’../\’\’的转义字符作为参数提交给showcode.asp脚本，可绕过WEB ROOT目录限制，以WEB进程权限查看系统文件。

厂商补丁：
Niti Telecom
————
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.nititelecom.com/caravan/start.asp” target=”_blank”>
http://www.nititelecom.com/caravan/start.asp

来源: XF
名称: caravan-dotdot-directory-traveral(15004)
链接:http://xforce.iss.net/xforce/xfdb/15004

来源: BID
名称: 9555
链接:http://www.securityfocus.com/bid/9555

来源: SECUNIA
名称: 10763
链接:http://www.secunia.com/advisories/10763/

来源: members.lycos.co.uk
链接:http://members.lycos.co.uk/r34ct/main/Caravan/Caravan.txt

来源: OSVDB
名称: 3787
链接:http://www.osvdb.org/3787

来源: SECTRACK
名称: 1008913
链接:http://securitytracker.com/id?1008913

来源：NSFOCUS
名称：6002
链接：http://www.nsfocus.net/vulndb/6002